Sophos系統組態不當致客戶資料曝險

英國防毒軟體公司Sophos本周通知客戶，該公司一個和客服資訊相關系統組態不當，導致客戶資料公開於網路上。

宣稱取得Sophos客服電子郵件的ZDNet本周報導，Sophos在信中指出，該公司被告知在一個系統存在「存取許可」問題，這個系統用於儲存客服支援部門用戶的相關資訊。由於這個疏漏，致使包含客戶全名、電子郵件和電話等資訊公開在網路上。

一名第三方安全研究人員發現了這個組態問題後通報該公司。Sophos說它接獲通報後立即修正了錯誤，也通知了受影響的所有客戶，並強化安全措施以確保存取控管設定的安全。

Sophos也證實這項消息，但表示只有「一小部份」客戶受到影響，並未提供詳細數字。同時Sophos也未說明組態問題存在時間，以及資料是否遭到存取。

企業因為資料庫組態不當，使客戶資料在系統未設密碼掛在網路上的事屢見不鮮。就連微軟今年內也先後爆出資料庫組態錯誤致使2.5億筆客戶資料曝光，以及大量資料遭刪光。

這也是Sophos今年內第二度爆出安全問題。今年4月Sophos通知用戶，旗下企業防火牆產品XG Firewall一個之前未發現的資料隱碼（SQL injection）漏洞遭到駭客開採並植入惡意程式以竊取防火牆中的檔案，多家客戶受到影響。